L'aggiornamento della password di un account per la schermata di accesso di preavvio di FileVault 2 deve coinvolgere il processo opendirectoryd quando si modifica la password dell'account. Scrivere il nuovo hash della password direttamente nel file Plist ignora opendirectoryd , quindi il processo di sincronizzazione della password non inizia mai.
Se è necessario modificare la password in questo modo, potrebbe essere necessario rimuovere e riaggiungere l'account utente con fdesetup. Ciò svuota la chiave derivata della vecchia password per FileVault 2 e imposta una chiave derivata per la nuova password.
Rimuovi:
fdesetup remove -user username_goes_here
Re-add:
fdesetup add -usertoadd username_goes_here
Nota: Come parte della rimozione e della riaggiunta, è necessario fornire la password di un account abilitato per FileVault 2 o una chiave di ripristino personale associata alla macchina per autorizzare le modifiche. Una cosa che è importante tenere a mente è che una volta eseguito fdesetup remove per l'account amministratore locale, l'account non sarà più abilitato per FileVault 2 e non sarà in grado di autorizzare la gestione di aggiungi fdesetup . Assicurati di avere una chiave di ripristino personale disponibile o abilita un altro account utente per FileVault 2, quindi utilizza la chiave di ripristino o la password del secondo account per autorizzare la riaggiunta dell'account dell'amministratore locale.
Commento : ho chiesto della pratica di scrivere gli hash delle password per plistare i file al fine di modificare le password mentre ero al WWDC di quest'anno. Ho ricevuto il seguente feedback dagli ingegneri Apple:
"È orribile. Non farlo."
link